1. Trang Chủ
  2. Thủ thuật máy tính
  3. Nghiên cứu thủ thuật khắc phục máy tính khi bị vi rút tấn công: Phần 2

Nghiên cứu thủ thuật khắc phục máy tính khi bị vi rút tấn công: Phần 2

Nối tiếp phần 1, phần 2 của tài liệu Nghiên cứu thủ thuật khắc phục máy tính khi bị vi rút tấn công tiếp tục trình bày tổng hợp các loại virus, worm, trojan, spyware... các diệt và khôi phục máy tính bị nhiễm: Cách diệt virus W32. Randsom. A; Cách diệt W32. Redlofs; Cách diệt Spyware CompuSpy; Cách diệt Trojan. Fakemess; Cách diệt W32. Wecorl;... Mời các bạn cùng tham khảo để nắm nội dung chi tiết. Bài 3 TỔNG HỢP CÁC LOẠI VIRUS, WORM, TROJAN, SPYVVARE. CÁCH DIỆT VÀ KHÔI PHỤC MÁY VI TÍNH BỊ NHIỄM

Thể loại Tài liệu miễn phí Thủ thuật máy tính

Số trang 282

Ngày tạo 4/10/2023 10:09:37 AM +00:00

Loại tệp PDF

Kích thước 19.33 M

Tên tệp

Tải Nghiên cứu thủ thuật khắc phục máy tính khi bị vi ... (.pdf)

Xem mẫu

  1. Bài 3 TỔNG HỢP CÁC LOẠI VIRUS, WORM, TROJAN, SPYVVARE. CÁCH DIỆT VÀ KHÔI PHỤC MÁY VI TÍNH BỊ NHIỄM Sau đây chúng tôi sẽ giới thiệu đến độc giả thông tin mô tả, cách diệt các họ Virus, Wonn, Trojan, Spyvvare... điển hình và đặc trưng. Bản thân các chương trình diệt vừus có thể sẽ loại bỏ, tuy nhiên những hư hại, hỏng hóc thì không phải chương trình nào cũng có thể khắc phục, Ví dụ: Có thể hiểu đơn giản như tủ bếp của bạn bị một con chuột phá hoại, nó gặm nhấm thân tủ, ăn các thức ăn trong tủ... Và bạn đã may mắn dùng bẫy bắt được con chuột đó, vậy là từ nay chiếc tủ bếp của bạn sẽ an toàn rồi tuy nhiên làm thế nào mà chiếc bẫy có thể khôi phục lại được tình trạng ban đầu của cái tủ? Thật khó phải không? Hiện nay, một số chương trình diệt virus có kết hợp tính năng tự sửa chữa những tổn hại do virus gây ra tuy nhiên khả năng là không nhiều và đé mục sở thị việc khôi phục này bạn có thể sử dụng các chương trình sửa chữa chuyên nghịêp hoặc tự sửa chữa thủ công bằng tay. 1. Cách diệt virus W32.Randsom.A Mô tả Phát hiện: Tháng 11 năm 2008. Tên: W32.Randsom.A. Kiểu: Sâu. 48
  2. Mức độ phát tán: Lây lan. Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupMnstalled Components\| Y479C6DO-OTRW- U5GH-S1EE- E0AC10B4E666}\"StubPath" = "%Windir%\UNINSTLV 16.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupXInstalIed Components\|F146C9Bl-VMVQ- A9RC-NUEL-D0BA00B4E999 ÌvStubPath" = "%Windir%\UNINSTLV 16.exe" HKEY_LOCAL_MACHINE^OFTWAREMorn.exe 5. Thoát khỏi Registry. 2. Cách diệt W32.Redlofs M ô tả Phát hiện; Tháng 11 năm 2008. Tên; W32.Redlofs. Kiểu: Sâu. Mức độ phát tán: 73,000 Bytes. Hệ thống bị ảnh hưởng; Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. 49
  3. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\" 10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun" HKEY_LOCAL_MACHINE^OFTWARE\Classes\".key" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\key 5. Khôi phục lại các giá trị ban đầu. HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\l 0 . 1 .o 8 .exe Shell" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Userinit" = "C:\WINDOWSM0.1.08.exe init" HKEY_USERSvS-1-5-21-1172441840-534431857- 1906119351- 500\Software\Microsoft\Windows\CuưentVersion\Policies \Explorer\"NoFolderOptions" = " 1" HKEY_USERS\S-1-5-21-1172441840-534431857- 1906119351- 500\Software\Microsoft\Windows\CuưentVersion\Policies \System\"DisableTaskMgr" = " 1" HKEY_USERS\S-1-5-21-1172441840-534431857- 1906119351- 500\Software\Microsoft\Windows\Cuưent VersionXPolicies \System\"DisableRegistryTools" " 1" HKEY_USERS\S-1-5-21-1172441840-534431857- 1906119351- 50
  4. 500\Software\Microsoft\Windows\CuưentVersion\Run\"l 0 . 1.0 8 " = "C:\WINDOWS\lo.l.o 8 .exe hcurun" HKEY_LOCAL_MACHINEsSOFTWARE\ClassesV.bat" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".cmd ” = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".com " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".hta" = "exeíile" HKEY_LOCAL_MACHINB\SOFrWARE\Classes\".js" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".JSE" = "exefile" HKEY_LOCAL_MACHINESSOFTWARE\Classes\".msi" = "exeíile" HKEY_LOCAL_MACHINE\SOFrWARE\Classes\".pif’ = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".reg" = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".scr" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".VBE " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".vbs" = "exefile" HKEY_LOCAL_MACHINESSOFrWARE\Classes\".WSF " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\CIasses\".WS H" = "exeíile" 6 . Thoát khỏi Registry. 51
  5. 3. Cách diệt Spyware CompuSpy Mô tả Phát hiện: Tháng 11 năm 2008. Tên: CompuSpy. Kiểu: Spyware. Phát triển bởi; Upsilon Dynamics. Mức độ nguy hiểm: Trung bình. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\App Management\ARPCache\CompuSpy KeyLogger HKEY_LOCAL_MACHINE^OFWARE\Microsoft\Win dows\CurrentVersion\App Paths\cswin2008.exe HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows\CuưentVersion\Uninstall\CompuSpy KeyLogger HKEY_LOCAL_MACHINEsSOFTWARÊlJpsilon Dynamics HKEY_LOCAL_MACHINESSOFrWARE\UpsilonDynamics HKEY_CURRENT_U SER\Software\Microsoft\Windows CuưentVersion\Run\"CompuSpy KeyLogger" = "C:\Program Files\CompuSpy\cswin2008.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\"CompuSpy" = "C:\Program Files\CompuSpy\CompuSpy.exe" 5. Thoát khỏi Registry. 52
  6. 4. Cách diệt Trojan.Fakemess Mó tả Phát hiện: Tháng 11 năm 2008. Tên: Trojan.Fakemess. Kiểu: Trojan. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK.. 4. Tìm và xoá các giá trị: HKEY_LOCAL_MACHINB\SOFTWAREWIicrosoft\Win dows\CuưentVersion\policies\Explorer\run\"sasa" = "[PATH TO TROIAN]" 5. Khôi phục các giá trị gốc trong Registry: HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTVCurrentVersionHmage Eile Execution Options\360Safe.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360rpt.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360tray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREV4icrosoft\Win dows NT\CurrentVersion\Image Eile Execution 53
  7. Options\CCenter.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution Options\IceSword.exé\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWAREMVlicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KASMain.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCurrentVersionMmage File Execution Options\KASTask.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Options\KAV32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACurrentVersionMmage File Execution Options\KAVDX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution OptionsXKA V Start.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\KISLnchr.exe\"Debugger" = 54
  8. "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution Options\KMFilter.exe\"Debugger" = '' % System %\s vchost. exe" HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution OptionsXKMailMon.exeVDebugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KPFW32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_M ACHINEvSOFrW AR^icrosoft\W in dows NTACurrentVersionMmage Eile Execution Options\KPFWSvc.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREW[icrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KRegEx.exe\"Debugger" = "%System%\svchost.exe" H K EY _LO CA L_M A CH IN E^O FrW A R^icrosoft\W in dows NTACurrentVersionXImage Eile Execution Options\KRepair.COM\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREW[icrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KVCenter.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREW[icrosoft\Win dows NTACurrentVersionMmage Eile Execution Options\KVMonXP.kxp\"Debugger" = "%System%\svchost.exe" 55
  9. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Optio ns\KVMonXP_l.kxp\\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KVSrvXP.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREVV1icrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKVStub.kxpVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile Execution Options\KWatch.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARBWIicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KWatch9x.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEsSOFTWARĐMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KWatchX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREWỈicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KaScrScn.SCR\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKsLoader.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win 56
  10. dows NTXCurrentVersionMmage File Execution Options\KvDetect.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTACurrentVersionMmage Eile Execution Options\KvReport.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvXP.kxp\"Debugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE>>SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvfwMcl.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\NAVSetup.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\PFWLiveUpdate.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image File Execution Options\QQDoctor.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\RStray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution 57
  11. Options\Ras.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINĐ50FTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\Rav.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREvMicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\RavMon.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^50FTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RavMonD.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RavStub.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution OptionX RavTask.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINENSOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RegClean.exe\"Debugger" = "%System%Vsvchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RfwMain.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RsAgent.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution 58
  12. OptionsXRsaupd.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution Options\SysSafe.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINB\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\Systom.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINĐ50FTWARE\Microsoft\Win dows NTvCuưentVersionMmage Eile Execution OptionsVTNT.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\TrojDie.kxp\"Debugger" = "%System%\svchost.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\TrojanDetector.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\Trojanwall.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\TxoMoU.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\UFO.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAl._MACHINE^OFrWARE\Microsoft\Win 59
  13. dows NTXCurrentVersionMmage File Execution Options\UIHost.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxAttachment.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxCfg.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\UmxFwHlp.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxPol.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UpLive.EXE\"Debugger" = "% System %\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\WoptiClean.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\avp.com\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACuưentVersionMmage Eile Execution Options\avp.exe\"Debugger" = "%System%\svchost.exe" 60
  14. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\kabaload.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows N1\CurrentVersion\Image Eile Execution OptionsMcvol.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCALjVlACHINE\SOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsNkvolselí.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINENSOFTWAR^icrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\kvupload.exe\"Debugger" = "% System %\svchost.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution OptionsMcvvvsc.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\nod32krn.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\nod32kui.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\rfwProxy.exe\"Debugger" = 61
  15. "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFrWARE\Microsoft\Win dows NTACuưentVersionMmage File Execution OptionsVfwcfg.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\rfwsrv.exe\"Debugger" = ”%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution OptionsVuniep.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\scan32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_M ACHINE^OFTW AR^icrosoft\W in dows ]Sn\CuưentVersion\Image Eile Execution OptionsXsvchOst.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_M ACHINE\SOFTW AR^icrosoft\W in dows NTACuưentVersionMmage Eile Execution Options\symlcsvc.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\ua80.EXEX"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\zxsweep.exe\"Debugger" = "%System%\svchost.exe" 6 . Thoát khỏi Registry. 62
  16. 5. Cách diệt W32.Gaut.A M ô tả Phát hiện: Tháng 11 năm 2008 Tên: W32.Gaut.A. Kiểu: Wonn (Sâu). Mức độ phát tán: 281,551 Bytes. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_CURRENT_USER\Software\Microsoft\Windows CuưentVersion\Run\"Yahoo Mes.sengger" = "C:\WINDOWS\system32\chrome.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shar ed" = "\New Folder.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows CuưentVersion\Policies\Explorer\"NofolderOptions" = "1" HKE Y_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Policies\System\"DisableRegistryTools" = "1" 5. Khôi phục lại các giá trị ban đầu được ghi trong Registry: HKEY_LOCAL_MACHINESSOFTWAREWIicrosofl\Win dows NT\CurrentVersion\Winlogon\"SheH" = "Explorer.exe chrome.exe" HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Inte 63
  17. rnet Explorer\Main\"Default_Page_URL" = "http://h 1■ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Inte rnet Explorer\Main\"Default_Search_URL" = "http://hl.ripwav.com/pooiashanna2/index.html" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Inte rnet Explorer\Main\"Search Page" = "http://hl.ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Inte rnet Explorer\Main\"Start Page" = "http://h 1■ripwav.com/pooiasharma2/index.html" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://h 1.ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE\SYSrrEM\CurrentControlSet Services\Schedule\"NextAtJobId" = "2" 6. Thoát khỏi Registry. 6. Cách diệt Trojan.Newarxy Mô tả Phát hiện: Tháng 11 năm 2008. Tên; Trojan.Newarxy. Kiểu: Trojan. Mức độ phát tán: 25,600 Bytes. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. 1. Khởi động lại máy sử dụng Windows Recovery Console. - Đưa đĩa cài Windows XP vào ổ đĩa CD-Rom. - Khởi động lại máy từ CD-Rom. 64
  18. - Ân R để bắt đầu sử dụng chương trình Recorvery Console đến màn hình "Welcome to Setup". - Chọn cài đặt nếu bạn muốn cài đặt bằng Recorvery Console. - Chọn administrator và password, sau đó Enter. - Đánh cd c:\windows\system32. - Ấn Enter. - Đánh copy ws2_32_.dll ws2_32.dll. - Ấn Enter. - Gõ Y để ghi đè files. - Ấn Enter. - Gõ Exit. - Ân Enter, Computer sẽ tự động khởi lại. 2. Tắt chế độ System Restore (Windows Me/XP). 3. Cập nhật chương trình diệt virus mới. 4. Scan toàn bộ hệ thống. 5. Xoá các giá trị được ghi vào Registry. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Intemet SettingsVProxyServer" = "http=l 27.0.0.1:9191" HKEY_LOCAL_MACHINE^OFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Internet SettingsVProxyOveưide" = "*.local;" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Intemet 65
  19. SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE^OFrWARE\Microsoft\Win dows\CurrentVersion\Internet SettingsVProxyServer" = "http= 127.0.0.1:9191" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuirentVersion\Internet SettingsVProxyOveưide" = "*.local;" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Intemet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINESSYSTEM\CuưentControlSetControI\Se.ssion Managei\"AllowProtectedRenames" = "1" HKEY_LOCAL_MACHINE^YSTEM\CuưentControlSetHardvvare Profiles\0001\Software\Microsoft\Windows\CuưentVersio nXInternet SettingsVProxyServer" = "http=127.0.0.1:9191" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSetHardware Profiles\0001\Software\Microsoft\Windows\CuưentVersio nXInternet SettingsVProxyOverride" = "*.local;" HKEY_LOCAL_MACHINEsSYSTEM\CuưentControlSetHardvvare Profiles\Cuưent\Software\Microsoft\Windows\CuưentVer sionMnternet SettingsVProxyServer" = "http=127.0.0.1:9191" HKEY_LOCAL_MACHINE\SYSrrEM\CuưentControlSetHardvvare Profiles\CuưentNSoftware\Microsoft\Windows\CuưentVer sionXInternet SettingsVProxyOverride" = "*.local;" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSetServices\SharedAcces.s\Parameters\FirewallPolicy\Standar dProfile\AuthorizedApplications\List\"C:\WINDOWSssyst em32\netsh.exe" = "C:\WINDOWSv;ystem32Nnetsh.exe;*:Enabled:TINYPROXY" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet 66
  20. Services\SharedAccess\Parameters\FirewaIlPolicy\Standar dProfile\AuthorizedApplications\List\"C:\Program PilesMnternet Explorer\IEXPLORE.EXE" = "C:\Program EilesMnternet Explorer\IEXPLORE.EXE:*:Enabled;TINYPROXY" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Services\SharedAccess\Parameters\FirewallPolicy\Standar dProfile\GloballyOpenPorts\List\"9191 :TCP" = "9191 :TCP:*:Enabled:TINYPROXY" HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Explorer\SFC\"wmiprvse.exe" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Explorer\SFC\"netsh.exe" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows CuưentVersion\Explorer\SFC\"IEXPLORE.EXE" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersionMnternet SettingsVProxyServer" = "http-127.0.0.1:9191" HKEY_CURRENT_USER\Software\Microsoft\Windows CuưentVersionMnternet SettingsVProxyOverride" = "*.local;" HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersionMnternet SettingsVProxyEnable" = "1" 5.' Khôi phục lại các giá trị ban đầu của Registry. HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet Hardvvare Profiles\0001\Software\Microsoft\windows\CuưentVersio nXInternet SettingsVProxyEnable" = " 1" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet Hardxvare Profiles\Current\Software\Microsoft\windows\CurrentVers ionXlnternet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE\SYSrTEM\CuưentControlSet 67
nguon tai.lieu . vn
Tin học văn phòng Đồ họa - Thiết kế - Flash Quản trị Web Cơ sở dữ liệu Quản trị mạng Kỹ thuật lập trình Hệ điều hành Phần cứng An ninh - Bảo mật Chứng chỉ quốc tế Thủ thuật máy tính Điện - Điện tử Kinh tế học Hoá học Xã hội học Môi trường